Microsoft warnt vor massiven Angriffen auf Microsoft Teams : So sollten Unternehmen jetzt reagieren
Derzeit finden massive Phishing-Angriffe auf Microsoft Teams statt. Cyberkriminelle konzentrieren sich darauf, über externe Chat-Anfragen an die Anmeldedaten von Teams-Benutzern in Microsoft 365 zu gelangen. Die Angriffe sind professionell durchgeführt und selbst für erfahrene Nutzer oft schwer zu erkennen.
Besonders betroffen sind derzeit Behörden und NGOs, aber auch kleine Unternehmen sind stark gefährdet. Hier fehlt es oft an Know-how und der nötigen Sicherheitsinfrastruktur. Kleine und mittlere Unternehmen (KMU) sind für Angreifer oft ein idealer Einstieg in die Lieferkette und zudem ein leichtes Opfer, wenn es darum geht, an Zugangsdaten zu gelangen und auf dieser Basis Schadsoftware in das Netzwerk einzuschleusen. Dies trifft kleine Unternehmen besonders hart, da sie oft nicht über das Personal mit dem nötigen Fachwissen verfügen, um Wiederherstellungsmaßnahmen durchzuführen.
Darüber hinaus stehen Microsoft-365-Abonnements von KMUs im Fokus der Angreifer, da aktuell besonders häufig erfolgreich übernommene Abonnements von Cyberkriminellen für Angriffe auf größere Unternehmen genutzt werden. Wird das Abonnement nicht mehr benötigt, kommen schließlich Ransomware-Angriffe und Datendiebstahl zum Einsatz. Viele Verantwortliche in KMU glauben, dass ihr Unternehmen für Cyberkriminelle nicht interessant genug ist. Doch das ist ein großer Irrtum, der sich schnell als fatal erweisen kann. Derzeit finden nicht nur „normale“ Cyberangriffe statt, sondern hochprofessionelle, möglicherweise sogar staatlich unterstützte Hacker greifen massiv deutsche Unternehmen an.
Das Microsoft Threat-Intelligence-Team warnt und US-Behörden untersuchen
Das Microsoft Threat-Intelligence-Team warnt vor erweiterten Angriffen, die noch über das übliche Maß hinausgehen. Betroffene Kunden werden von Microsoft derzeit bereits aktiv gewarnt, dennoch kommen fast täglich neue Opfer hinzu. Microsoft-365-Abonnenten, die Microsoft Teams auch produktiv nutzen, sollten sich daher vorbereiten und Nutzer warnen. Auch das Ergreifen von Sicherheitsmaßnahmen ist angebracht. Es ist davon auszugehen, dass die Angriffe in den nächsten Monaten weitergehen werden, da die Angreifer offenbar aus dem Ausland, anscheinend aus Russland und China, stammen.
Zusätzlich zu den Warnungen von Microsoft haben Sicherheitsforscher Schwachstellen in Microsoft Teams, Azure und anderen Cloud-Diensten von Microsoft entdeckt, die Angreifer derzeit ausnutzen. Seit Juni 2023 haben Forscher laut Jumptec beispielsweise eine Sicherheitslücke in Teams identifiziert, die es Angreifern ermöglicht, an die Anmeldedaten von Nutzern zu gelangen (https://labs.jumpsec.com/advisory-idor-in-microsoft-teams-allows-for-external-tenants-to-introduce-malware). Die aktuellen Angriffe laufen seit Mai 2023.
Neben besonders aggressiven Angriffen gibt es also auch noch Lücken, die von Angreifern ausgenutzt werden. Dies macht die Situation besonders brisant. Ohnehin gibt es derzeit Probleme bei Microsoft durch verloren gegangene Master-Keys für die Verschlüsselung bei Azure und Microsoft 365. Neben russischen Hackern haben derzeit auch chinesische Hacker Microsoft-Produkte im Visier und haben erfolgreich US-Regierungsserver angegriffen (https://www.cnbc.com/2023/07/27/microsoft-must-be-held-responsible-for-china-hack-senator-wyden.html). Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und auch die Federal Trade Commission (FTC) führen aus diesen Gründen Untersuchungen wegen „fahrlässiger Cybersicherheitspraktiken von Microsoft“ durch.
Wie können sich Unternehmen vor den Angriffen halbwegs zuverlässig schützen?
Um sich vor den Angriffen zu schützen, sollten sich Unternehmen vorbereiten. Zunächst sollten alle Nutzerinnen und Nutzer von Microsoft 365 über den Ablauf der Angriffe und das richtige Verhalten informiert werden. Auch die Aktivierung der Multifaktor-Authentifizierung ist ein wichtiger Sicherheitsfaktor bei Microsoft 365. MFA schützt zwar nicht vollständig vor Angriffen, aber ohne MFA-Schutz sind Angriffe noch leichter möglich. Da MFA in allen Editionen von Microsoft 365 enthalten ist, spricht nichts dagegen, diesen Schutz zu nutzen.
Parallel dazu sollten die Anwender aber auch dahingehend geschult werden, dass sie alle MFA-Anfragen der Authentifizierungsanwendung zunächst als potentiellen Angriff betrachten und die Anmeldung nur dann bestätigen, wenn diese sicher von ihnen kommt. Längst gibt es auch Angriffe auf MFA-Systeme, bei denen Angreifer ständig Anfragen an die Apps senden, welche die Benutzer dann oft irgendwann bestätigen. MFA-Bombing und MFA-Fatigue sind Gefahren, vor denen MFA selbst nicht schützen kann. Hier müssen die Benutzer sensibilisiert werden.
In Microsoft Teams sollten Administratoren dringend festlegen, von welchen Microsoft-365-Organisationen die eigenen Nutzer Chats empfangen dürfen. Dies geschieht im Teams Admin Center unter „Benutzer -> Externer Zugriff“. Hier können Domänen hinterlegt werden. Alle anderen Domänen werden künftig von Teams gesperrt. Das schafft zumindest ein wenig Sicherheit. Generell ist es zudem sinnvoll, auf die internen Sicherheitsfunktionen von Microsoft 365 und Microsoft Azure zu setzen. In Microsoft 365 Business Premium sind entsprechende Schutzfunktionen enthalten, die allerdings auch eingerichtet und verwaltet werden müssen (https://www.microsoft.com/de-de/microsoft-365/business/microsoft-365-business-premium).
Das sind die aktuellen Akteure und so greifen sie an
Derzeit sind vor allem die Hackergruppen Midnight Blizzard, ehemals NOBELIUM, APT29, UNC2452 und Cozy Bear aktiv. Oft handelt es sich um dieselben Täter oder zumindest um Gruppen, die zusammenarbeiten. Die Angreifer versuchen, die Microsoft 365-Abonnements von KMUs zu übernehmen und erstellen dann weitere DNS-Domänen. Diese nutzen die Kriminellen als Basis für ihre Angriffe.
Häufig sind externe Chatanfragen zu Microsoft Teams. Hier schreiben die Angreifer im Namen des übernommenen Unternehmens oder als „Microsoft Security Service“ und andere die Nutzer von Teams an. Akzeptieren die Nutzer die Chat-Anfrage, versuchen die Angreifer an die Anmeldedaten der Anwender zu gelangen. Das funktioniert leider besser als viele erwarten und die Angriffe selbst sind hochprofessionell.
Für die Angriffe nutzen die Hacker häufig die internen Domains von Microsoft für Microsoft 365 (onmicrosoft.com). Als Präfix für die Domain werden verschiedene Wörter verwendet, die viele als vertrauenswürdig einstufen. Basis dieser neuen Domains sind gehackte Microsoft 365 Abonnements von KMUs. Aktuelle Beispiele sind
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
- onmicrosoft[.]com
Dies ist nur ein Auszug, es gibt noch viele weitere Domains. Haben Angreifer ein Abonnement übernommen, fügen sie Subdomains hinzu und nutzen diese für Angriffe. Die Folgen für das betroffene Unternehmen sind natürlich gravierend, unter anderem sperrt Microsoft zunächst das Abonnement. Hier ist mit Produktionsausfällen und anderen Problemen zu rechnen und letztlich auch mit einem Ransomware-Angriff auf die eigenen Daten. Sind dem Abonnement weitere Dienste wie Active Directory oder Active Directory Federation Services nachgeschaltet, versuchen die bisherigen Akteure auch hier Fuß zu fassen, um in lokalen Rechenzentren Schaden anzurichten oder noch mehr Daten zu stehlen.